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摘 要 : 针对 云 存 储 环境 下 外 包 数 据 面临 的 安全 隐患 ， 并 结合 现 有 云 数据 完整 性 验证 方案 的 不 足 ， 提 出 了 支持 动态 操 
作 的 多 副本 数据 完整 性 验证 方案 。 方 案 考 虑 了 多 副本 应 用 场景 ， 并 在 现 有 云 数据 完整 性 验证 方案 的 基础 上 以 较 小 的 代 
价 实现 了 文件 的 多 副本 了 验证, 并 通过 引入 认证 的 数据 结构 一 基于 等 级 的 Merkle 哈 希 树 , 实现 了 文件 的 可 验证 的 动态 更 
新 。 通 过 对 多 副本 进行 关联 ， 可 以 实现 多 个 副本 的 同步 更 新 。 安 全 性 分 析 与 实验 表明 了 方案 的 安全 性 与 有 效 性 ， 方 案 
实现 了 数据 的 安全 存储 与 更 新 ， 并 有 效 保证 了 数据 多 副本 的 隐私 安全 。 
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Multiple-replica data integrity checking protocol with 
efficient dynamic update in cloud storage 
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Abstract: Considering the security risk of data stored in cloud and the deficiency of existing data integrity checking schemes, 
this paper proposed a multiple-replica remote data integrity checking protocol with efficient data dynamic update in cloud 
storage. The scheme was suitable for multiple replica scenario, and achieved multiple-replica provable data possession at a 


small cost on the basis of existing cloud data integrity checking schemes. By introducing authenticated data structure called 


rank-based MHT, the protocol supported full data dynamic operations. Through replica correlation, multiple replicas could be 
updated synchronously. Security analysis and experiment results Show the security and effectiveness of the proposed protocol， 
and can guarantee the privacy of multiple replicas at the same time. 
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(PDP) 协议 和 可 恢复 性 证 明 (PoR) 协议 。 前 者 可 检查 云 数 
据 的 完整 性 而 不 用 下 载 整 个 文件 ， 后 者 在 数据 完整 性 验证 的 基 
云 计算 作为 新 的 计算 模式 ， 使 得 用 户 可 以 按 需 获取 计算 资 。 础 上 允许 数据 的 恢复 。 这 两 种 协议 的 主要 不 同 之 处 是 PoR 机 种 
源 和 存储 资源 。 通 过 虚拟 化 技术 ， 用 户 可 以 便捷 地 访问 由 分 布 。” 使 用 纠 错 码 来 进行 原始 数据 的 恢复 。 
的 计算 节点 组 成 的 共享 资源 池 ， 节 省 了 硬件 设备 的 购置 开销 与 Ateniese 等 人 串 在 2007 年 率先 提出 数据 持 有 性 证 明 的 模 
数据 的 维护 开销 。 云 存储 作为 云 计 算 最 基本 、 应 用 最 广泛 的 服 。 型 ， 它 利用 抽样 技术 来 实现 数据 的 完整 性 验证 ， 有 效 减 少 了 
务 ， 成 为 研究 人 员 关 注 的 焦点 。 数 据 使 用 权 与 管理 权 相 分 离 所 户 的 计算 开销 和 通信 开销 。 他 们 还 提出 了 两 个 基于 RSA 签名 的 
带 来 的 数据 安全 隐患 成 为 云 计算 普及 的 主要 障碍 之 一 。 高 度 和 全 高 效 且 可 证 明 安 全 的 PDP 方案 。 然后 ， 出 现 了 基于 短 签名 技术 
中 的 存储 资源 使 得 云 服 务 器 面临 着 严重 的 安全 挑战 ， 外 部 入 侵 A 更 短 的 签名 。 此 
者 的 攻击 或 去 服务 提供 商 内 部 人 员 的 误 操作 等 都 使 得 云 中 数据 外， 这 些 签名 具有 同 态 性 质 ， 因 此 可 以 将 多 个 签名 聚合 到 一 个 
的 完整 性 不 能 得 到 有 效 的 保证 。 签名 中 ， 短 签名 PDP 机 制 拥有 公开 验证 的 特性 ， 用 户 可 以 将 
数据 完整 性 验证 机 制 使 用 户 可 以 对 存储 在 云 中 的 数据 进行 ”审计 任务 交 给 第 三 方 审计 者 CTPA)， 因 此 ， 它 有 更 小 的 存储 开 
验证 并 及 时 发 现 云 数据 的 损坏 情况 。 目 前 ， 根 据 是 否 能 恢复 原 。” 销 和 更 低 的 通信 代价 。 
始 数据 ， 云 数据 完整 性 验证 协议 可 以 分 为 数据 持 有 性 证 明 考虑 到 用 户 可 能 会 对 存储 在 云端 的 数据 进行 修改 ， 因 此 ， 
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录用 稿 刘 洪 宇 ， 等 : 支持 动态 操作 的 


PDP 方案 必须 满足 动态 性 。 为 了 解决 这 一 问题 ，Wang 等 人 和 b) 双 线性 。 对 所 有 的 hhbeG ，4%2s2，， 有 
Erway 等 人 84 考 虑 利用 动态 的 数据 结构 确保 数据 块 的 位 置 。 e(he ,ht)=e(h,h)™ 。 
Wang 等 人 通过 利用 经 典 的 Merkle 哈 希 树 (MHT) 改进 了 可 恢 
复 性 证 明 模 型 。Erway 等 人 使 用 了 修改 的 认证 跳 表 

(authenticated skip list) 数据 结构 以 允许 数据 动态 更 新 ， 但 它 1.2 Merkle 险 希 树 
的 认证 过 程 较 长 ， 需 要 大 量 的 计算 和 通信 开销 Merkle 哈 希 树 (MHT) 是 一 个 被 广泛 使 用 的 认证 结构 ， 可 


Oo) 非 退 化 性 。e(8,8)#s1， 其 中 ，& 是 G 的 生成 元 。 


为 了 提高 数据 的 可 靠 性 与 可 用 性 ， 在 云 中 存储 多 个 数据 副 以 被 用 来 有 效 地 检查 是 否 一 系列 元 素 被 正确 存储 ， 因 此 可 用 于 


本 是 被 广泛 采用 的 方法 。 然 而 云 服务 提供 商 可 能 会 为 了 节省 存 。 检查 数据 的 完整 性 。 一 个 MHT 是 一 个 一 进 制 树 ， 其 中 叶子 节 
个 


空间 ， 获 得 更 多 经 济 利益 而 不 保存 数据 的 副本 ， 使 得 用 户 数 。 点 包含 了 所 存 数据 的 哈 希 值 ， 每 一 个 内 部 节点 存储 了 它 的 两 


的 可 用 性 大 大 受 损 。Curtmola 等 人 回 考虑 了 存储 多 个 副本 时 “孩子 的 哈 希 值 。 每 一 个 内 部 节点 以 及 根 节点 由 它 的 两 个 孩子 节 


ti 


用 户 数 据 的 完整 性 验证 ， 它 可 以 以 较 小 的 计算 开销 实现 多 个 副 点 所 产生 。 对 每 个 元 素 4; 而 言 ， 其 辅助 认证 信息 (AAT) 为 从 


本 的 验证 , 但 不 能 支持 数据 的 动态 操作 。Liu 等 人 [9 提出 了 一 个 到 达 根 节点 的 路 径 节点 的 兄弟 节点 的 集合 ， 所 以 根据 元 素 4 以 


自 


基于 多 副本 Merkle 哈 希 树 的 支持 动态 操作 的 云 数 据 完整 性 验 及 其 辅助 认证 信息 ， 可 以 求 出 根 节点 。 假 定 验 证 者 知道 MHT 


证 协议 ， 其 从 上 至 下 产生 Merkle 哈 希 树 的 层级 ， 每 个 数据 块 的 的 根 节 点 ， 当 收 到 第 i 个 数据 块 4; 时， 为 了 检查 a 的 完整 性 ， 


rt 


i 
副本 块 被 构建 在 一 个 相同 的 副本 子 树 中 。 然 而 它 不 是 针对 于 分 除了 数据 本 身 ， 验 证 者 也 需 得 到 其 辅助 认证 信息 。 构 建 MHT 


布 式 存储 环境 ， 为 了 数据 的 高 可 用 性 ， 副 本 应 被 存储 于 多 个 地 ”使 用 的 单 向 哈 希 函数 可 以 保证 认证 的 正确 性 与 可 靠 性 ， 所 以 
理 位 置 不 同 的 服务 器 中 ， 否 则 磁盘 的 损坏 会 带 来 所 有 副本 的 破 MHT 可 以 被 用 来 认证 数据 块 的 值 ， 但 它 不 能 提供 位 置 的 检查 。 


坏 ， 另外 ， 它 对 每 一 个 副本 单独 处 理 ， 每 个 副本 块 有 自己 的 认 “1.3 ”基于 等 级 的 Merkle 哈 希 树 
证 标签 ， 会 增加 用 户 的 计算 开销 。 为 了 使 MHT 可 以 适用 于 支持 动态 操作 的 数据 认证 ， 一 种 

近期 ， 随 着 对 云 数据 完整 性 协议 的 广泛 研究 ， 涌 现 了 多 个 。 新 型 的 数据 结构 一 基于 等 级 的 MHT CrMHT) 被 开发 出 来 。 在 
PDP 协议 的 变 体 [ 习 ， 它 们 实现 了 比 原始 PDP 协议 PC 9 更 多 。 HMHT 中 ， 除 了 哈 希 值 及 ， 每 一 个 节点 v 还 存储 了 它 能 到 达 的 
的 特性 。2015 年 ，He 等 人 "考虑 了 无 线 体 域 网 环境 下 的 数据 叶子 节点 的 个 数 。 这 个 值 被 称 作 节点 ”的 rank 值 ， 即 等 级 值 。 
完整 性 验证 ， 并 提出 了 一 个 无 证 书 的 公共 审计 方案 。2016 年 ， 。 可 以 看 出 ， 非 叶子 节点 的 等 级 值 等 于 它 的 孩子 们 的 叶子 节点 的 
Zhang 等 人 19 提出 了 一 个 云 存 储 环境 下 高 效 的 基于 身份 的 公开 等 级 值 的 和 。 不 同 于 MHT， 在 rMHT 中 ，h, 的 值 是 将 它 两 个 
审计 方案 .Yu 等 人 (9 提出 了 支持 完美 隐私 保护 的 基于 身份 的 数 孩子 节点 的 值 与 它 的 等 级 值 级 联 后 ， 再 进行 哈 希 。 另 一 个 存储 
据 完整 性 验证 方案 。2017 年 ，Yan 等 人 PW 提出 了 基于 同 态 喻 希 ”在 节点 中 的 值 是 它 的 高 度 , 用 4 表示 , 最 后 一 个 值 称 为 边 信息 ， 
函数 的 支持 动态 操作 的 远程 数据 审计 协议 ,但 方案 并 不 支持 数 。” 即 是 其 父亲 节点 的 左 孩 子 还 是 右 孩 子 ， 分 别 用 0 和 1 表示 。 边 


据 的 多 副本 存储 。 李 萌 庭 等 人 20 提出 了 基于 相对 索引 散 列 树 的 ”信息 用 w 代表 。 因 此 ， 在 rMHT 中 ， 节 点 v 被 表示 为 
数据 完整 性 验证 方法 。 v=(h,r,L,,s,) (1) 

本 文 针 对 多 副本 场景 下 的 云 存 储 ， 提 出 了 支持 动态 操作 的 。 更 精确 地 说 ， 假 定 v 的 孩子 节点 为 v，( 左 孩子 节点 ) 和 v，( 奢 
多 副本 数据 完整 性 验证 方案 。 通 过 对 原始 文件 进行 对 称 加 密 ， 孩子 节点 )， 那 么 节点 v 的 值 可 以 被 如 下 计算 : 
生成 数据 密 文 ， 并 根据 此 密 文安 全 生成 文件 的 多 个 副本 ， 并 且 病 
以 较 低 的 计算 开销 实现 了 文件 的 多 副本 存储 与 验证 。 通 过 引入 a i 
认证 的 数据 结构 一 一 基于 等 级 的 MHT, 实现 了 文件 的 可 验证 的 = A(R he) 本 
动态 更 新 ， 包 括 数据 块 的 修改 、 增 加 与 删除 。 对 存储 在 不 同 云 


根 节 点 不 包含 边 信息 ， 因 此 % 为 空 。 在 rIMHT 中 ， 第 
个 认证 的 数据 块 a 的 辅助 认证 信息 为 


~ 


服务 器 中 的 副本 进行 关联 , 实现 了 多 个 副本 的 同步 更 新 。 最 后 ， 


ee 实验 结果 表明 了 方案 的 0O, ={0W. lv = hs ls, N11 注 
丸 为 辅助 认证 信息 中 各 节点 处 在 不 同 的 高 度 ， 所 以 要 求 对 
1 ”相关 知识 于 任何 0< j<1<k ,有 4 < 各， 意味 着 辅助 认证 信息 中 的 的 节 
点 按 高 度 从 下 往 上 排列 , 这 有 利于 从 底 向 上 有 效 地 计算 根 节 点 。 


1.1 双 线 性 对 
C,C 是 两 个 阶 为 素数 P 的 乘法 循环 群 ，G 为 椭圆 曲线 上 
的 离散 点 构成 的 循环 群 。 双 线性 对 e:GxG 一 G; 是 具有 如 下 性 
质 的 映射 : 
a) 有 效 可 计算 性 。 对 所 有 的 及 ,heG ,存在 一 个 有 效 的 计 
算 算 法 来 计算 e 。 


图 1 给 出 了 一 个 构建 ?MHT 的 例子 。 对 于 i={1,2,…,8} ， 
及 = 如 (mi 由 D，, 其 中 1 是 叶子 节点 的 等 级 值 。 有 =H(h 2)， 
Wh=HOsNh 2D, h=HOs|hl2 , b=H(0lhl2), 
中 2 是 名 ,hs, 及 ,hi 节点 的 等 级 值 ， 因 为 这 些 节点 都 有 两 个 叶子 
节点 。 甩 = 瓦 ( 放 | 记 1 ， 包 = 五 人 er 和 9， 玉 和 及 有 4 个 
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叶子 节点 。 根 节点 及 有 8 个 叶子 节点 ,所 以 有 =H(h, 8) 。 


np wn ee 
(mW) Ce) Ce) (ho) Ce) (he) (hy) Ch) 
了 
| 


mi m2> ms ma ms mse my ms 


图 1 rMHT 的 构建 


2 ”系统 模型 与 设计 目标 


3 ”方案 构造 


3.1 方案 概述 

一 个 支持 动态 操作 的 多 副本 PDP 方案 包含 6 种 算法 , 分 别 
是 密 钥 产 生 、 存 储 、 挑 战 、 证 据 生成 、 证 据 验证 、 可 验证 的 动 
态 更 新 算法 

密 钥 产生 : 数据 拥有 者 运行 的 概率 算法 ， 产 生 数 据 拥有 者 
的 公 铀 和 私 钥 。 

存储 : 数据 拥有 者 运行 的 概率 算法 ， 产 生 文件 F 的 t 个 副 


本 。 数 据 拥 有 者 首先 对 原始 文件 尺 进行 加 密 产 生 ， 对 用 
随机 数 进行 掩蔽 以 产生 多 个 副本 。 副 本 五 将 被 存储 在 服务 器 
5 中。 然后， 数据 拥有 者 产生 文件 对 应 的 认证 标签 。 数 据 拥 
者 首先 将 文件 分 成 一 些 块 ， 每 个 块 再 划分 为 不 同 的 扇 区 ， 为 每 


Hu 


个 块 生成 认证 标签 ， 之后， 数据 拥有 者 为 文件 构建 ?MHT， 
2.1 系统 模型 对 根 进行 签名 。 对 于 文件 的 所 有 副本 ， 数 据 拥 有 者 仅 产生 一 份 
数据 完整 性 验证 的 系统 模型 包含 云 服 务 器 和 数据 拥有 者 两 认证 标签 。 最 后 ， 数 据 拥 有 者 将 副本 及 其 认证 标签 上 传 到 云 服 
个 实体 。 云 服务 器 有 大 量 的 存储 资源 和 强大 的 计算 能 力 ， 为 数 。” 务 器 上 ， 并 删除 本 地 副本 及 标签 。 云 服务 器 为 用 户 上 传 的 数据 
据 拥有 者 提供 长 期 的 可 扩展 的 数据 存储 服务 。 这 里 ， 云 服务 器 。 建立 副本 目录 ”1, 副本 目录 中 包含 所 有 副本 的 逻辑 文件 名 LFN 
包含 位 于 不 同 地 理 位 置 的 多 个 云 服务 器 ， 数 据 拥有 者 可 以 将 文 ”和 物理 文件 名 PFN，LFN 为 文件 名 称 fname， 各 副本 拥有 相同 
件 的 多 个 副本 保存 在 不 同 的 云 服务 器 中 。 数 据 拥有 者 作为 资源 的 LFN，PFN 由 文件 存储 的 物理 路 径 和 其 云 服 务 器 编号 构成 。 
受 限 的 实体 ， 更 倾向 于 将 本 地 文件 存储 到 云 服 务 器 中 以 节省 存 挑战 : 为 了 检查 云 服务 器 中 数据 的 完整 性 ， 数 据 拥有 者 向 
储 开 销 ， 并 减轻 数据 维护 与 管理 负担 。 为 了 保证 数据 的 高 可 用 云 发 起 挑战 ， 它 可 以 发 起 单 副本 挑战 或 多 副本 挑战 。 对 于 单 副 
性 ， 数 据 拥有 者 选择 存储 数据 的 多 个 副本 到 云 服 务 器 中 。 本 挑战 ,数据 拥有 者 与 一 个 特定 的 云 服务 器 5, 进行 交互 ， 以 确 
2.2 安全 威胁 定 5, 是 否 完整 存储 了 副本 有 。 多 副本 挑战 ， 它 可 以 对 存储 副 
当 数 据 者 将 数据 存储 到 云 服 务 器 中 并 删除 本 地 文件 ” 本 的 多 个 服务 器 发 起 挑战 ， 以 验证 所 有 副本 的 可 用 性 。 数 据 拥 
后 ， 数 据 的 安全 性 完全 依赖 于 云 服 务 器 。 然 而 存储 在 云 中 的 数 。 有 者 只 需要 对 副本 数据 块 的 随机 子 集 进行 挑战 ， 就 可 以 以 极 大 
据 可 能 会 面临 许多 不 安全 因素 ， 首先， 数据 可 能 因为 云 服务 提 ” ”概率 发 现 是 否 存在 数据 丢失 或 损坏 。 
供 商 内 部 人 员 的 不 当 操作 或 外 部 攻击 者 的 攻击 而 遭 到 丢失 或 损 证 据 生 成 : 由 数据 拥有 者 和 服务 器 运行 的 确定 性 算法 ， 当 
坏 ， 并 且 为 了 声誉 , 云 服 务 提供 商会 隐瞒 数据 丢失 事件 ; 其 次 ， ”数据 拥有 者 对 存储 在 云 服 务 器 中 的 数据 进行 挑战 时 ， 云 服务 器 
云 服务 提供 商 可 能 删除 不 经 党 被 访问 的 数据 以 节省 存储 空间 ， 根据 挑战 请 求生 成 相应 的 证 据 ， 并 将 证 据 发 送 给 数据 拥有 者 。 
且 当 用 户 存储 多 个 文件 副本 时 ， 云 服务 器 可 能 会 仅 存储 文件 证 据 验证 : 数据 拥有 者 运行 的 确定 性 算法 ， 当 收 到 云 服务 
的 一 个 副本 ， 并 通过 勾结 使 去 用 户 相信 它 存储 了 数据 的 多 个 副 。 器 发 送 的 证 据 时 ， 数 据 拥有 者 对 其 进行 验证 以 确定 存储 在 云端 
本 。 的 数据 的 完整 性 。 
2.3 ”设计 目标 可 验证 的 动态 更 新 : 数据 拥有 者 和 云 服务 器 运行 的 确定 性 


为 了 保证 数据 的 安全 存储 与 动态 更 新 ， 方 案 应 达到 以 下 两 


个 设计 目标 : 

引文 件 完整 性 验证 。 
的 完整 性 进行 验证 。 
进行 多 副本 的 验证 ， 以 确保 多 个 副本 的 完整 怕 


数据 拥有 者 可 


性 及 可 用 性 。 


以 以 较 小 的 开销 对 文件 


数据 拥有 者 可 以 进行 单 副 本 的 验证 也 可 以 


b) 可 验证 的 多 副本 更 新 。 当 用 户 对 存储 在 云 中 的 数据 进行 


修改 、 增 加 或 删除 时 ， 用 
的 更 新 。 


户 可 以 验证 云 服务 器 确实 进行 了 相应 


算法 ， 当 数据 拥有 者 对 云 中 的 数据 进行 修改 、 增 加 或 删除 时 ， 


云 服 务 器 根据 更 新 请 求 对 数据 的 所 有 副本 进行 操作 ， 并 返回 更 
新 的 证 据 ， 使 数据 拥有 者 可 以 对 更 新 进行 验证 。 
3.2 具体 构造 

e:GxG 一 Gr 是 一 个 双 线 | 
环 群 ，ord(G)=ord(Gr)=p， 


性 映射 ，G ，G 是 两 个 乘法 循 
DP 是 一 个 大 素数 ，8 是 G 的 生 


成 元 。 石 :{0,1} 一 G 是 一 个 抗 碰撞 的 哈 希 函数 ， 用 于 构建 
IMHT。92 是 一 个 安全 的 伪 随 机 函数 。 
密 钥 产生 : 数据 拥有 者 首先 在 2 中 随机 选择 w ， 并 计算 


Vv < g“， 然后 产生 一 个 随机 的 签名 密 钥 对 (spk, ssh)<—SKg ， 
产生 AES 加 密 密 钥 KK 和 伪 随 机 函数 密 钥 xz。 数据 拥有 者 的 私 
钥 为 sk =(Q,ssk,K,z)， 公 钥 为 pk = (v,spk) 。 
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存储 : 数据 拥有 者 首先 将 原始 文件 严 分 成 于 个 块 ， 即 
={fi,fp…h} ， 用 密 钥 K 对 原始 文件 FF 进行 加 密 获 得 


所 三 hh 上 has D2) ，CoR 的 值 为 CoR=1+1=2; 
b) 计算 节点 a 的 等 级 值 到 =2+2=4，a 的 值 为 


五 ={b,b,.…b,}， 其 中 b=Ex(f) ，1<i<n。 然 后 ， 数 据 


及 =h(h | 四 4) ， 此 时 CoR 的 值 为 CoR=2+2=4; 


者 如 下 产生 + 个 不 同 的 文件 副本 : 对 于 副本 ，1<u<t， 调 
] 伪 随机 函数 9 ， 生 成 随机 的 区， 二 9.(w) 。 五 中 的 数据 块 
F 的 每 个 数据 块 与 随机 值 ,运算 产生 , 即 玉 =(z2 an) ， 
其 中 ，Mmi=b; + ，1<i<n。 数 据 拥有 者 将 文件 FF 的 每 个 数 ] 
块 分 为 s 个 扇 区 ， 每 个 扇 区 表示 为 {8.)}，1<i<n, 1<j<s。 
数据 拥有 者 从 2; 中 为 文件 随机 选取 一 个 文件 名 fname ， 并 从 
G 中 选取 5 个 随机 元 素 刀 ,…u, < G， 然 后 为 文件 FF 的 每 个 块 
产生 认证 标签 ， 并 生成 标签 集合 T= 全 ,区 ,….T} ， 其 中 : 


Se 


开 


T=(H(frame) .Too (0) 
Jj=1 


对 于 文件 表示 framelln 上 uw 由 …llu,，, 文件 标签 1 为 和 它 
的 签名 的 级 联 , 签名 私 钥 为 ssk ， 即 1 有 SSigwx (to) 。 数 据 拥 
有 者 将 副本 £, ， 标 签 集合 T 以 及 文件 标签 ! 存储 在 服务 器 5, 
上 , 然后 , 数据 拥有 者 删除 原始 文件 及 其 各 副本 以 及 标签 集合 、 
文件 标签 。 云 服务 器 为 用 户 上 传 的 数据 建立 副本 目录 ， 它 包含 
所 有 副本 的 逻辑 文件 名 LFN 和 物理 文件 名 PFN。LFN 为 文件 
名 称 fname， 各 副本 拥有 相同 的 LFN，PFN 由 文件 存储 的 物理 
路 径 和 其 云 服务 器 编号 构成 , 并 将 副本 目录 发 送 给 数据 拥有 者 。 
挑 成 : 数据 拥有 者 随机 选择 7 个 {Gv)} 组 成 挑战 集合 Q ， 

其 中 ， ， 数 据 拥 有 者 将 针对 的 挑战 
{2, fname} 发 送 给 相应 的 云 服务 器 。 

证 据 生成 : 收 到 挑战 后 ， 云 服务 器 根据 8 中 的 {(iv)} 计算 


iel[ll,n] 六 veZ, 


Hj > VON 


，1<j< 
5 JSY 07) 


(ivi)eQ 


然后 ， 云 服务 器 将 4 上 4 ，a ，1 发 送 给 数据 拥有 者 。 
证 据 验 证 : 数据 拥有 者 首先 验证 文件 标签 上 中 的 签名 ， 若 
签名 无 效 ， 则 终止 ， 否则， 从 t 中 得 到 媚 ,…,U, ， 并 验证 : 


Ps 
e(o,8)=e(H(frame)'™™™® To (9) 
j=l 
= 2 Wn (10) 
(iv)eQ 
是 否 成 立 
同时 ， 数 据 拥有 者 通过 rMHT 检验 相应 挑战 块 的 位 置 。 通 


过 验证 一 个 节点 的 辅助 认证 信息 中 边 信息 为 左 的 节点 的 等 级 值 
的 和 可 以 判断 节点 的 位 置 是 否 正确 。 将 CoR 记 为 待 验证 节点 的 
左 侧 的 叶子 节点 《包含 它 自己 ) 的 个 数 。 例 如 ， 在 图 1 中 ， 如 
果 数 据 拥 有 者 想 验证 数据 块 m 的 值 和 位 置 , 它 从 云 服务 器 端 收 
到 辅助 认证 信息 人 2 = fw 六 }={0a00, a4 。 然 后 ， 它 将 
CoR 设 为 1， 并 进行 如 下 验证 过 程 : 

a) 计算 节点 d 的 等 级 值 五 =1+l=2， 并 计算 4 的 值 


c) 计算 根 节点 h 的 等 级 值 为 4+4=8 ， 
n(n, 1 8) ; 

d) 检查 是 否 及 =A 并 验证 是 否 CoR=4. 
当 验 证 等 式 (9) 成 立 且 挑 战 节点 的 位 置 均 正确 时 , 说 明 保存 
在 云 服务 器 中 的 数据 是 完整 的 。 

可 验证 的 动态 更 新 : 这 里 考虑 常见 的 三 种 动态 操作 ， 即 
改 、 增 加 和 删除 数据 块 。 

修改 操作 指 将 某 一 特定 数据 块 替 换 为 新 的 数据 块 。 对 于 
改 操作 ， 云 服务 器 将 数据 块 更 新 后 ， 还 需 对 rMHT 进行 更 新 。 
假设 数据 拥有 者 欲 将 第 i 个 数据 块 更 新 为 a ， 它 将 
(Mod,i,ai,T") 发 送 给 云 服务 器 ， 云 服务 器 首先 更 新 第 i 个 节点 
的 哈 希 值 ， 然 后 更 新 从 改 叶 子 节点 到 根 节 点 的 路 径 上 各 节点 的 


hs 的 值 为 


WX 


RY 


尝 


值 ， 向 数据 拥有 者 返回 新 的 根 值 态 和 4 的 新 的 路 径 节点 P; 。 


增加 操作 指 将 一 个 新 数据 块 插入 到 原来 的 数据 块 集合 中 。 
数据 拥有 者 向 云 服务 器 发 送 (1ns,i,ai,T) ， 表 明 将 数据 块 4 插 
入 到 第 i 个 位 置 上 , 即 4 之 前 .对 于 增加 操作 , 云 服务 器 对 rMHT 
的 更 新 过 程 如 下 : 计算 新 节点 的 哈 希 值 ， 并 设置 它 的 等 级 值 ; 
计算 w 和 a 的 父 节点 ， 并 且 对 于 4 的 辅助 认证 信息 AAI 中 节 
点 的 兄弟 节点 ， 重 新 计算 它们 节点 的 值 ， 最 后 ， 输 出 新 的 根 节 


点 的 值 成 和 a; 的 路 径 节点 P; 。 


删除 操作 指 将 一 个 特定 数据 块 从 原先 数据 集中 移 除 。 数 据 
拥有 者 向 云 服务 器 发 送 (Del,i) ， 表 明 删 除 第 i 个 数据 块 。 对 于 
删除 操作 ， 云 服务 器 更 新 MHT 的 过 程 如 下 ; 将 a; 的 所 有 路 径 
节点 更 新 ， 将 待 删节 点 的 兄弟 节点 的 层 值 加 1， 并 更 新 其 边 信 
息 ; 更 新 a 的 辅助 认证 信息 AAI 中 节点 的 兄弟 节点 ， 最 后 , 输 
出 新 的 根 节点 的 值 成 和 a 新 的 路 径 节点 P”。 

为 了 验证 服务 器 已 经 按照 要 求 进行 了 更 新 操作 ， 数 据 拥有 
者 向 云 服务 器 取 回 更 新 算法 必要 的 输入 。 例 如 节点 的 辅助 认证 


并 


信息 AAL, 验证 其 正确 性 后 , 运行 更 新 算法 , 得 到 新 的 根 值 h ， 


与 从 服务 器 端 发 来 的 更 新 后 的 根 值 有 进行 比较 。 若 相同 ， 则 说 
明 云 服务 器 已 按 要 求 对 数据 进行 了 更 新 。 
当 数 据 拥 有 者 对 文件 的 所 有 副本 进行 动态 更 新 时 ， 向 其 中 
一 个 存储 副本 的 服务 器 发 送 针对 所 有 副本 的 更 新 命令 。 例 如 ， 
对 于 修改 操作 ， 数 据 拥 有 者 向 云 服务 器 发 送 (all, Mod,i,ai,T) ， 
此 云 服务 器 将 会 向 副本 目录 中 存储 此 文件 的 所 有 物理 地 址 发 送 
数据 修改 命令 ， 各 服务 器 将 根据 命令 进行 修改 。 数 据 拥有 者 可 
随机 与 某 一 云 服务 器 进行 交互 ， 对 其 更 新 操作 进行 验证 。 
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录用 稿 刘 洪 字 ， 等 : 支持 动态 操作 的 多 副本 数据 完整 性 验证 方案 
4 方案 分 析 ee 其 中 ， Pe 0 比特 ， Be 
件 大 小 增加 1 KB。 根据 标签 生成 算法 ， 当 文件 大 小 固定 时 ,每 
4.1 功能 性 分 析 个 数据 块 中 包含 的 扇 区 数 越 多 ， 数 据 块 个 数 越 少 ， 因 此 总 的 生 
本 文 所 提 方 案 适 用 于 云 用 户 将 文件 的 多 个 副本 存储 在 云 服 ”成 标签 时 间 基 本 不 变 ， 而 当 文件 大 小 逐渐 增加 时 ， 总 的 肩 区 数 
务 器 上 ， 云 用 户 只 用 为 文件 生成 一 份 标签 ， 便 可 以 通过 此 标签 ” 随 之 增加 ， 标 签 生成 时 间 也 会 逐渐 增加 。 文 件 大 小 增 大 时 标签 
对 存储 在 各 个 服务 器 的 不 同 的 文件 副本 进行 完整 性 验证 ， 而 不 生成 时 间 如 图 2 所 示 。 由 图 2 可 以 看 出 ， 标 签 生成 的 时 间 消 耗 
用 为 每 个 文件 单独 生成 标签 ， 同 时 不 用 担心 云 服务 器 只 存储 J 随 着 文件 大 小 呈现 线性 增长 ， 与 数值 分 析 结 果 一 致 ， 当 文件 大 
一 份 文件 副本 以 欺骗 用 户 。 云 用 户 可 以 通过 与 多 个 服务 器 进行 。 小 为 10KB 时 ， 用 户 生 成 标签 时 间 大 约 为 0.95 s。 


交互 以 验证 各 个 副本 的 完整 性 。 

当 用 户 对 文件 进行 动态 更 新 时 ， 向 存储 副本 的 云 服务 器 发 
送 动态 操作 请 求 ， 云 服务 器 对 文件 进行 更 新 后 ， 将 生成 的 证 据 
发 送 给 去 用 户 ， 云 用 户 可 以 对 云 服 务 器 的 动态 操作 进行 验证 ， 
实现 了 可 验证 的 动态 更 新 。 同 时 ， 由 于 云 服务 器 上 存储 了 副本 


目录 ， 它 向 其 他 存储 文件 副本 的 多 个 云 服务 器 发 送 数据 更 新 请 
求 ， 其 他 云 服务 器 将 依照 请 求 对 文件 进行 更 新 ， 云 用 户 可 以 通 
过 与 存储 副本 的 云 服 务 器 进行 交互 以 验证 数据 的 动态 更 新 。 
4.2 安全 性 分 析 
在 本 文 的 安全 假设 中 ,数据 拥有 者 不 会 主动 泄露 密 钥 信 息 ， 
并 且 默 认 产 生 副 本 时 采用 的 是 安全 的 伪 随 机 函数 。 数 据 拥 有 者 
对 原始 文件 采用 的 对 称 加 密 算法 为 AES 加 密 算法 , 其 算法 的 攻 
击 复杂 度 依赖 于 分 组 长 度 和 密 钥 长 度 ， 它 同时 兼 具 了 高 效率 与 
高 安全 性 。 文 件 的 副本 的 安全 性 基于 AES 加 密 算法 以 及 伪 随 机 
函数 9 。 
对 于 文件 的 完整 性 验证 过 程 ， 文献 [1] 证 明了 如 果 生 成 文件 
标签 所 采用 的 的 数字 签名 方案 是 存在 性 不 可 伪造 的 ， 双 线性 群 
中 的 计算 Diffie-Hellman 问题 是 困难 的 ， 则 在 随机 预言 机 模型 
中 ， 没 有 多 项 式 时 间 敌 手 能 够 以 不 可 忽略 的 概率 攻破 方案 的 可 
靠 性 ， 即 敌手 能 伪造 出 证 据 ， 它 能 够 通过 数据 拥有 者 的 验证 。 
具体 证 明 这 里 不 再 歼 述 。 通 过 使 用 {HGm1D,8;}eo。 和 
Sig8 sx (hr) ,数据 拥有 者 可 以 通过 验证 hk 的 有 效 性 以 及 辅助 认证 
信息 Q 的 正确 性 。 通 过 @ 以 及 挑战 的 数据 块 , 数据 拥有 者 可 以 
计算 出 数据 块 的 位 置信 息 CoOR， 从 而 保证 数据 位 置 的 正确 性 ， 
因此 可 以 抵抗 替换 攻击 。 通 过 数据 块 的 值 与 位 置 的 正确 性 的 保 
证 ， 数 据 拥有 者 可 以 确信 保存 在 云 服务 器 中 的 数据 是 完整 的 ， 
敌手 不 能 在 多 项 式 时 间 内 伪造 出 能 通过 数据 拥有 者 验证 的 证 
据 ， 从 而 保证 了 方案 的 安全 性 。 


5 ”实现 结果 与 分 析 


本 章 将 通过 实验 测试 本 文 提出 的 方案 的 性 能 。 对 于 测试 平 
台 ， 本 文采 用 了 Intel Core(TM) i7-7500 @2.70 GHz 处 理 器 ，8 
GB 内 存 ，Win10 64 位 操作 系统 。 算 法 由 Visual Studio 2012 编 
译 实现 ， 并 调用 了 Miracl 库 ， 其 被 公认 为 是 椭圆 曲线 密码 学 的 
黄金 开源 标准 。 在 测试 中 ， 安 全 参数 被 设 为 4=80 ， 满 足 了 安 
全 性 要 求 。 下 面 将 从 两 个 方面 说 明 算法 的 测试 结果 。 

a) 本 文 测试 了 标签 生成 “TagGen)〉 的 时 间 开 销 ， 模 拟 了 当 
文件 大 小 从 1 KB 逐渐 增加 到 10 KB 时 ， 数 据 拥有 者 生成 标签 
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b) 本 文 测 试 了 完整 性 验证 过 程 中 数据 拥有 者 和 云 服务 器 的 
能 开销 。 将 文件 大 小 固定 为 1 MB ， 并 逐步 增加 数据 拥有 者 
战 的 块 的 个 数 ， 从 50 递增 到 500。 挑 战 的 数据 块 增加 时 证 据 


生成 及 验证 时 间 如 图 3 所 示 。 从 图 3 可 以 看 出 ， 当 挑战 块 数 逐 


增加 时 ， 云 服务 器 的 计算 开销 逐步 增 大 ， 从 16 ms 逐渐 增加 
165 ms， 数 据 拥有 者 的 验证 开销 基本 保持 在 193 ms， 这 是 因 
随 着 挑战 块 个 数 的 增加 ， 服 务 器 生成 证 据 上 1<s7ssy 和 ar 的 
间 在 逐渐 增加 ， 而 数据 拥有 者 计算 验证 等 式 所 需 的 时 间 仅 随 
挑战 块 个 数 的 递增 有 微小 的 增加 。Ateniese 等 人 证 明 如 果 云 
务 器 中 有 1% 的 数据 损坏 ， 则 数据 拥有 者 通过 挑战 300 个 块 
以 以 95% 的 概率 检测 出 数据 损坏 ,挑战 460 个 块 可 以 以 99% 
概率 检测 出 数据 损坏 。 从 图 中 可 以 看 出 ， 当 挑战 300 个 块 时 ， 
服务 器 生成 证 据 所 需 花 费时 间 为 99 ms， 挑 战 460 个 块 时 ， 
费时 间 为 152 ms， 数 据 拥有 者 验证 时 间 均 为 194 ms。 


—@— ProofGen 
一 @ 一 Verify 


0 50 100 150 200 250 300 350 400 450 500 


挑战 的 数据 块 个 数 


录用 稿 


全 3 ”挑战 的 数据 块 增加 时 证 据 生 成 及 验证 时 间 


6 ”结束 语 


本 文 设计 了 一 种 云 存 储 环境 下 的 支持 动态 操作 的 多 副本 数 

完整 性 验证 方案 ， 能 够 使 数据 拥有 者 以 较 低 的 计算 开销 实现 
多 个 副本 的 存储 与 完整 性 验证 ， 同 时 支持 数据 的 动态 操作 ， 利 
用 认证 的 数据 结构 IMHT 保证 了 数据 块 的 位 置 的 正确 性 ， 并 实 
现 可 验证 的 动态 更 新 。 安 全 性 分 析 表 明了 方案 满足 了 安全 要 求 ， 
实验 结果 表明 了 方案 的 高 效 性 与 实用 性 。 步 研 究 工作 是 设 
计 一 个 云 环境 下 支持 公开 验证 的 多 副本 数据 完整 性 验证 方案 ， 
同时 支持 可 验证 的 动态 操作 ， 并 尝试 进一步 提升 计算 效率 ， 减 
少 通信 开销 ， 探 索 出 更 高 效 ， 更 灵活 的 完整 性 验证 方案 。 
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